曾繁荣
[摘要]2019年8月,国际内部审计师协会(IIA)发布了研究报告《内部审计对组织重要创新的响应》,该报告基于对首席审计执行官(CAE)和内部审计师的专业调查,介绍了组织的重要创新现状及内部审计对组织重要创新的响应情况、响应效果。因该报告篇幅较长,故分篇刊载。
[关键词]内部审计 组织 创新 响应
业世界正面临着前所未有的变革和创新。正
如美国商业作家布鲁斯·塔根所述,“自工业革命以来,世界经济正经历着最深刻的变化。技术、全球化和不断加快的变革步伐导致市场混乱、竞争激烈、员工要求难以预测”。对商业专业人士而言,管理所有这些变化、特别是突破性的变革相当于试图“冲刺马拉松”。
当组织尝试创新时,重要的是要注意到许多创新会对传统流程造成重大、破坏的颠覆。因此,随着组织创新技术和实践的激增,内部审计必须评估和管理一系列不断变化的风险。内部审计作为第三道防线,有机会在维持有效控制和减轻这些新风险方面发挥关键作用。为此,内部审计师必须拥有前惠普CEO卡莉·菲奥莉娜所描述的战略和愿景:“改变的步伐是如此之大,总会有其他事情发生。你必须具备战略眼光和周边视野。战略眼光是展望未来的能力,周边视野是环顾四周的能力,两者都很重要。”
为帮助内部审计师加强引领以更好实现组织战略愿景,本报告提出两个主要问题:一是哪些重要创新影响了组织和内部审计师,二是内审如何努力回应这些创新。通过对CAE和内部审计师的深入访谈和调查,记录内审部门对这些创新的回应和内部审计师的有用见解、最佳实践,以确定组织及其内审部门所面临的关键创新趋势。
一、组织的创新及内部审计应对概况
由于各类组织对创新的定义有很大不同,因而本文不限定创新的定义。调查分为两步,第一步是采访来自各类组织的11位CAE(或同等职位),要求其确定所在组织当前或最近面临的所有重要创新,并列出一级清单;第二步是在第一步的基础上形成更详细的二级清单,向更广泛的参与者发放问卷,要求每位参与者在清单上选择组织已实施或正在实施的三项最具创新性的选项。表1列出了经汇总排名前十的创新类型。
(一)内部审计参与组织创新决策的程度
创新动力因组织差异而不同,也因创新类型而不同。比如,组织可能根据客户需求进行创新,试图跟上或区别于竞争对手而采用新兴技术。组织在执行创新决策的方式上也有所不同,特别是并非所有组织都将内审纳入创新决策的讨论中。图1显示,42%的受访者反饋内审未参与创新决策,即组织实施创新或颠覆性变革的决定是在没有任何内审人员参与的情况下作出的;34%的受访者表示参与了识别和审查即将实施创新的供应商或产品,在创新项目或流程的初始阶段,这种支持有助于降低潜在风险并明确潜在的改进空间;20%的受访者参与了实施创新的最初决策;仅4%的受访者参与咨询了创新所涉及的风险并就风险或控制进行了讨论。
虽然内部审计保持独立性和客观性很重要,但将内审完全排除在创新讨论之外可能会存在问题。内审可以提供有关创新带来的任何新风险的重要见解,解决现有控制是否到位问题,以减轻潜在的新风险,并有助于审查拟参与创新的潜在供应商或外部合作伙伴。至关重要的是,若内部审计没有参与或没有在创新的早期参与创新决策,那么就有可能在没有准备好的情况下提供保证或咨询服务,从而降低内审处理创新产生新风险的能力,将组织置于风险之中。
(二)内部审计应对组织创新的响应方式
调查显示,用于满足组织目标的技术发生较大变化时,内审可能需要相应改变其审计活动、人员或技能,以便在应对这些变化时能够继续保持增加价值并提供有效保证。图2显示了内审的相应变化,最常见的变化是为应对创新而增加培训、拓展审计领域或调整年度计划。
调查表明,多数内部审计师为创新提供有效保证。他们更可能通过增加培训而不是通过外包或共同开发与创新相关的活动、雇用具有不同技能的新员工来改变人员组合,前者的比例是后者的3倍多;21%的受访者认为目前不需要作出任何改变。
内审应对组织创新的关键是掌握审计方法、识别风险和有效控制。这一原则一直是内审工作的核心,这在不断变化的工作环境中至关重要。在招聘新员工时,重要的是“让更聪明的思考者进入内审行业”,因为审计人员不愿意仅仅被告知该做什么,而是更希望运用创意和创新方法来解决风险和问题。
数据显示,仅2%的内审部门通过裁员来应对创新;10%的内审部门因为创新而增加员工。当前还没有出现某些媒体和学术出版物预测的“世界末日”的结果,即对内部审计师的需求尚未显著下降。
(三)内部审计进行组织创新的准备及效果
调查要求内部审计师确定其应对各项创新的准备程度和效果。这两个问题都用7分制来评价,其中1分表示完全没准备好或效果低下,7分表示已完全准备好或效果很好。调查显示,在所有创新中,受访者的平均分略低于中点,表明他们既未完全准备好,也并非完全没准备好(3.8分);在应对创新方面并非完全有效,也并非完全无效(3.9分)。这些中等的得分印证了德勤2018年对全球CAE调查的结果。正如IIA秘书长兼CEO理查德·钱伯斯在2018年12月12日的《内部审计人员在线》中所述:“如果你偶尔怀疑内审对公司的影响,你其实并不孤单。德勤2018年全球CAE调查显示,高达60%的CAEs认为内审对公司内部没有强大影响。虽然这对内部审计师来说是个坏消息,但仍比2016年调查的72%有所改善。”因此,内部审计在准备和应对创新时似乎面临挑战,每个内审部门在准备和应对组织创新方面都将发生较大改变。
二、内部审计如何应对十项常见的组织创新
为比较不同的创新类型,本部分提供了对各类创新的更详细调查,其中图3和图4按具体的创新类型对结果进行分解,图5显示了应对每项创新的准备情况和有效评级,每项创新都按字母顺序排列。对于每项创新,每个条形图显示了内部审计参与组织各类创新决策的受访者比重(下同)。
(一)数据分析
1.定义。数据分析是一个含义广泛的术语,是一种从原始信息源(即数据源)中获取深刻见解的IT技术。2017年,美国注册会计师协会(AICPA)将数据分析定義为“发现和分析模式、识别异常以及通过分析、建模和可视化提取与审计主题相关的数据中的其他有用信息,以规划或执行审计的科学和艺术”。数据分析为组织带来了变革,且使用范围还在不断扩大。在整个组织中,广泛地进行数据分析,可以促进各项业务的决策。内部审计师必须理解这种新方法,并对管理层承诺,使其对分析过程放心。事实上,使用数据分析的审计在效率和有效性上已显著提高。
2.对组织/风险的影响。首先,当被问及所在组织因实施数据分析而面临的新风险时,最常见的回答是与数据完整性相关的风险,特别是当组织实现了数据分析时,员工很可能访问各种系统并从中提取数据进行分析。但与此同时,因使用不完整或有缺陷的数据集进行分析并据此作出决策的风险也相应增加。因此,需要建立有效的治理流程,以确定谁有权访问数据、如何使用数据以及如何保护数据。其次,受访者也担忧数据的透明度会带来负面影响,因为更高的透明度意味着管理层和内部审计无法控制“坏”消息,更多人可以获得原始数据,如员工离职时,由于所掌握数据的透明度,可能将潜在“机密”透露给竞争对手。再次,组织对数据分析的依赖可能给内部审计师带来挑战。金融行业多位CAE指出,组织中的数据往往是分散、不同的,这给有效使用数据分析带来挑战,并且组织在最初实现数据分析时并没有应用一致的方法或规程,因此对组织及内审部门来说,将这些方法结合起来并有效使用可能具有很大挑战。最后,当数据分析作为工具在内部审计中使用时,也会带来挑战。有受访者警告说,专注于数据分析可能使内审人员没有足够时间来执行其他类型的审计,这让利益相关者感到沮丧。此外,让员工进行数据分析会提高人员的流动性,导致雇佣和留住熟练的数据分析师变得更加困难。
3.调查结果。调查显示,54名受访者将数据分析视为组织当前的主要创新,超过了其他创新类型。尽管如此,内部审计参与数据分析创新决策的程度与其他创新不相上下,受访者也不认为内审更多或更少地准备好了或对该创新作出有效反应,如图6所示。
4.深度见解。受访者使用数据分析工具进行各种分析,最常用的工具是Tableau和ACL,接下来最值得推荐的工具是R、Python和SQL。内部审计师应避免仅因为Excel易于使用就依赖它,并且要对“免费工具”保持警惕。
5.最佳实践。一是加强培训。将学习和改进数据分析作为审计团队绩效目标的一部分。通过将培训过程正式化并将其纳入年度计划,使内部审计人员能更好地利用数据分析来提高绩效。二是强化数据治理。组织应严格执行数据库,并以可控、有意义的方式构造数据。三是控制分析。数据分析的一个常见问题是无法有效控制所做的、所保存的、所共享的、所依赖的数据,因而会出现重复分析,进而出现不同的结果(也可能由于分析技术的错误或误用)。此外,对谁可以执行分析以及如何审查、存储这些分析进行有效控制也是至关重要的。
(编译者单位:中国人民银行赣州市中心支行,邮政编码:341000,电子邮箱:315421032@qq.com)